none
kerberosチケットの最長有効期間について RRS feed

  • 質問

  • Windows2008のActiveDirectoryを構築しています。

    グループポリシーのkerberosポリシーで"チケットの最長有効期間"に10時間がデフォルト値

    として設定されています。

    この10時間を越えるとクライアントからユーザーが意識する事無くチケットを更新するのでしょうか?

    それともクライアントをログオフして、ログオンする等ユーザーが手動でチケットの更新をする必要が

    あるのでしょうか?

     

    またデフォルトで"ユーザーチケットを更新できる最長有効期間"に7日が設定されていますが、クライアントを

    7日間ログオンしたままの状態で使用できるが、7日を超えるとログオフ、ログオンする必要があると

    いう事でしょうか?

    2010年3月28日 4:00

回答

  • チャブーンです。

    kerberos のポリシーで指定されたチケットの最長有効時間を過ぎると、kerberos のチケットは無効となりますが、kerberos のチケットを請求するのに最初に必要な "パスワードのハッシュ" 情報は残っているため、共有フォルダへのアクセス等チケットの再認証が必要となったタイミングで、もう一度kerberosチケットを取得します。

    また、ユーザチケットを更新できる最長有効期間ですが、これは、TGTチケットが(最長有効時間前に更新をつづける等で)更新可能な日数となりますが、うえのとおり、(ログオン時に生成された)パスワードのハッシュ情報があるかぎり、kerberos認証が必要な際に、そのハッシュ情報を使ってTGTを再取得するはずです。

    なので、結論としてはいったんログオフする必要はない、となりますね。

    • 回答としてマーク sanuki 2010年3月30日 1:22
    2010年3月29日 16:07
    モデレータ

すべての返信

  • チャブーンです。

    kerberos のポリシーで指定されたチケットの最長有効時間を過ぎると、kerberos のチケットは無効となりますが、kerberos のチケットを請求するのに最初に必要な "パスワードのハッシュ" 情報は残っているため、共有フォルダへのアクセス等チケットの再認証が必要となったタイミングで、もう一度kerberosチケットを取得します。

    また、ユーザチケットを更新できる最長有効期間ですが、これは、TGTチケットが(最長有効時間前に更新をつづける等で)更新可能な日数となりますが、うえのとおり、(ログオン時に生成された)パスワードのハッシュ情報があるかぎり、kerberos認証が必要な際に、そのハッシュ情報を使ってTGTを再取得するはずです。

    なので、結論としてはいったんログオフする必要はない、となりますね。

    • 回答としてマーク sanuki 2010年3月30日 1:22
    2010年3月29日 16:07
    モデレータ
  • チャブーンさん

    回答ありがとうございます。

    ADが稼動していれば、自動でチケットの更新をしてくれるのですね。

    2010年3月30日 1:22